L

Le cas de la gestion
des connexions
dans l'éducation

Qu'il s'agisse d'un étudiant qui s'essaie au piratage ou qui tire profit du mot de passe d'un enseignant volé, d'un professeur mal intentionné ou d'un attaquant externe qui utilise des mots de passe volés, comment êtes-vous supposés repérer un accès inapproprié?

Une aide est nécessaire pour identifier quand n’importe quel type d'acteur de menace tente d’attaquer, et ce d'une certaine manière qui ne va pas empêcher l'accès quotidien pour les professeurs, le personnel et les étudiants.

Introduction

Le concept même de votre environnement réseau «sécurisé» est un peu subjectif. Sécurisé de quoi? Alors que l'industrie informatique continue à se concentrer sur la sécurité de ses environnements et de ses données, il est important de comprendre la sécurité contextuelle en termes de types d'attaques pour lesquels vos couches de défense vous protègent.

La liste des «suspects habituels» d'aujourd'hui comprend les rançongiciels, le hameçonnage, le piratage informatique, les violations de données, les menaces internes, et plus encore. Compte tenu de la liste cumulative des menaces potentielles, il devient de plus en plus important de comprendre les menaces spécifiques auxquelles votre industrie est confrontée, en recherchant des solutions viables pour assurer une stratégie de défense en profondeur robuste.

Et quand il s'agit d'une industrie attaquée, l'un des principaux prétendants est le secteur de l'éducation. Alors que les secteurs de la finance et du commerce de détail dominent la plupart des rapports, le secteur de l'éducation demeure la cible la plus viable pour les menaces internes et externes.

L'éducation a le taux de ransomware le plus élevé (page en anglais) de toutes les industries1. En effet, les organisations éducatives connaissent plus de trois fois le nombre d'attaques de rançongiciels que celui des soins de santé, et plus de dix fois le nombre pour le secteur de la Finance1.

Les organisations éducatives représentent un référentiel de beaucoup de types de données précieuses. Des renseignements personnels sur les enseignants, le personnel et les étudiants ainsi que des informations sur les paiements et les dossiers de santé peuvent être utilisés dans le cadre d'un crime motivé par des considérations financières. Les établissements d'enseignement supérieur qui font de la recherche de pointe ont des ensembles de données et de propriété intellectuelle qui peuvent être la cible parfaite pour une attaque de ransomware ou d'espionnage. Alors que de nombreux collèges et universités ont intensifié leurs efforts de sécurité, essayant de correspondre à ceux d'autres industries, ils restent une cible à la fois pour les rançongiciels et les attaques externes.

Les écoles primaires et secondaires avec des élèves plus jeunes sont également des cibles extrêmement viables, principalement en raison du manque de budget affecté aux initiatives de sécurité, ce qui fait que les logiciels antivirus ou les filtres antispam constituent leur principale défense.

Définir l’attaque sur l’éducation

Même si vous êtes peut-être conscient que votre organisation éducative peut être la cible d'attaques, il est important de mieux comprendre qui attaque, pourquoi, ce qu'ils recherchent et, surtout, ce que vous pouvez faire pour y remédier.

Le tableau ci-dessous donne quelques précisions sur la nature des attaques dans l'éducation.

Les acteurs de la menace Motifs Acteurs Données compromises
71% Externe 45% Financier 56% Personnel
45% Interne 43% Espionnage 27% Secrets
3% Partenaire 9% Fun

Caractéristiques de violation de données dans l'éducation2

Les attaques externes représentent la plus grande part, les organisations criminelles cherchant des moyens d'accéder à votre réseau dans le but d'exfiltrer des données précieuses ou de les conserver pour obtenir une rançon.

Et tandis que la principale source d'attaque est un acteur de menace externe, le secteur de l'éducation est également sujet à des attaques internes. Les étudiants technophiles qui en savent plus que leur service informatique sont généralement égoïstes et indifférents à la sécurité et au bien-être de l'environnement réseau. Ils s'efforceront de trouver des moyens de contourner les mesures de protection en place pour s'assurer qu'ils peuvent visiter toutes les parties du site Web qu'ils souhaitent, ce qui les expose à des risques d'infection par des logiciels malveillants.

Les étudiants tirent également parti des applications et des systèmes fournis pour atteindre leurs objectifs personnels: télécharger de la musique, des jeux et des films ou héberger un site Web professionnel. Les étudiants sont bien connus pour trouver des solutions, indépendamment du fait que leurs actions adhèrent à la politique de sécurité ou non.

Il est évident que les organisations informatiques du secteur de l'éducation ont besoin d'une stratégie qui aide à identifier quand n’importe quel type d'acteur de menace tente d’attaquer, et ce d'une manière qui n'inhibe pas les capacités du corps professoral, du personnel et des étudiants.

Alors, qu'est-ce que la gestion des connexions et comment cela peut-il aider dans un environnement éducatif?

La gestion des connexions :
brèves notions

Le concept de la gestion des connexions s'articule autour de quatre fonctions principales, toutes travaillant ensemble pour maintenir un environnement sécurisé:

  • Politique – Établit qui peut se connecter quand, d'où, pour combien de temps et à quelle fréquence. Cela peut également limiter des combinaisons spécifiques de types de connexion (tels que les connexions basées sur la console et RDP) et les utilisateurs.
  • Surveillance – La connaissance de chaque ouverture de session unique sert de base à renforcer la politique, les alertes, la création de rapports, etc.
  • Alertes – Informe le service informatique et les utilisateurs concernés de l'activité d'ouverture de session inappropriée et des tentatives infructueuses.
  • Réponse – Permet au service informatique d'interagir avec une session suspecte, de verrouiller la console, de déconnecter l'utilisateur ou même de bloquer d'autres ouvertures de session.

En mettant ces fonctionnalités ensemble, la gestion des connexions met une couche de protection au premier plan de votre réseau, assurant une utilisation appropriée.

Pourquoi la gestion des connexions ?

Pourquoi la gestion des connexions ?

Maintenant, vous vous demandez, pourquoi la gestion des connexions et pas autre chose, comme Next Gen Antivirus ou Endpoint Security? C'est une question valide. Contrairement à la plupart des solutions de sécurité, qui tentent de résider au moment des actions malveillantes, la gestion des connexions cherche à s'introduire en toute transparence dans le processus, en arrêtant l'action de la menace avant qu'elle ne se produise.

La gestion des connexions est une partie responsable et efficace de votre stratégie de sécurité.

  1. Les fonctions de connexion au cœur de chaque attaque
    Commun à chaque type d'attaque est le besoin de se connecter. Qu'il soit effectué en utilisant une session à distance, via PowerShell, en exploitant un mappage d'un lecteur ou en se connectant localement sur une console, votre réseau nécessite qu'un utilisateur s'authentifie avant d’obtenir l’accès à quoi que ce soit.
    Qu'il s'agisse d'un étudiant qui s'essaie au piratage ou qui tire profit du mot de passe d'un enseignant volé, d'un professeur mal intentionné ou d'un attaquant externe qui utilise des mots de passe volés, tous ont besoin de se connecter pour réussir.

  2. Cela fournit les premiers signes avant-coureurs
    Contrairement aux solutions de sécurité qui nécessitent un attaquant pour effectuer des actions inappropriées, comme tenter d'accéder à des données sensibles, copier sur une clé USB ou joindre des fichiers à un courrier électronique, identifier une attaque potentielle avec la gestion des connexions se produit avant que tout accès ne soit atteint, et encore moins exploité.
    Cela donne à l'informatique une longueur d'avance pour répondre avant que des actions dommageables ne soient entreprises par un attaquant.

  3. Cela limite les faux positifs
    La partie redoutée de toute solution de sécurité est la possibilité d'une tempête d'alertes qui s'avèrent être des faux positifs. Avec autant d'utilisateurs qui se connectent - et à peu près à n'importe quel moment de la journée dans les universités - il est essentiel que les services informatiques disposent de solutions sûres quant au potentiel d'attaque.
    À l'aide de contrôles basés sur des stratégies, la gestion des connexions est configurée en fonction de l'utilisation normale de l'environnement, fournissant uniquement des alertes lorsqu'une connexion est hors stratégie.
    Par exemple, si un étudiant obtient les informations d'identification d'un enseignant et essaie de se connecter un samedi à 3 heures du matin, vous souhaitez recevoir une notification à ce sujet. De même, si l'étudiant essaie de se connecter pendant les heures d'école, mais qu'il se connecte de multiples fois dans un court laps de temps, le département informatique veut également le savoir.

  4. Cela peut réellement arrêter une attaque
    C'est l'un des aspects les plus importants de votre stratégie de sécurité. Presque toutes les solutions de sécurité sur le marché disent qu'elles arrêtent les attaques. Faites attention ici: la solution alerte-t-elle simplement un potentiel de menace (qui n'arrête une attaque qu'une fois que le service informatique intervient, ou minimise l'exposition de l'attaquant, mais n'arrête pas réellement l'attaque) ou prend-il des mesures et arrête l'attaque?
    Contrairement aux solutions qui détectent des actions malveillantes (comme un antivirus détectant la présence de logiciels malveillants ou des préventions de perte de données détectant un utilisateur tentant de copier des données sur une clé USB), la gestion des connexions adopte une approche beaucoup plus proactive. Si une connexion tombe en dehors d'un ensemble de restrictions établies, elle peut automatiquement bloquer l'accès ou, si elle est déjà connectée, déconnecter immédiatement un utilisateur et verrouiller le compte, en arrêtant l'attaque avant que des actions malveillantes ne soient entreprises.

En raison de la capacité de la gestion des connexions à détecter rapidement les activités inappropriées bien avant qu'une quelconque malveillance ne survienne, il est possible de mettre en place une protection qui permettra de sécuriser l'accès aux systèmes critiques et aux données sensibles.

Mais comment la gestion des connexions aide spécifiquement le secteur de l'éducation?

Pourquoi la gestion des connexions dans l'éducation?

Étant un environnement réseau unique, l’éducation ne peut pas toujours se permettre d'adapter ses besoins de sécurité aux capacités des solutions de sécurité conçues pour les environnements d'entreprise traditionnels. Ce dont nous avons besoin, c'est d'une solution de sécurité qui puisse facilement s'adapter aux besoins changeants des établissements d'enseignement à tous les niveaux.

La gestion des connexions est une solution idéale pour les besoins de sécurité de l'industrie de l'éducation pour un certain nombre de raisons:

  • Intégration transparente
    Le rapport utilisateur-informatique est si élevé que toute mesure de sécurité mise en place doit faciliter à la fois la sécurité et la productivité, en permettant à l'utilisateur d'accéder rapidement aux ressources d'apprentissage en ligne, mais d’une façon qui permet aux politiques informatiques de contrôler à tout moment.
    La gestion des connexions s'intègre au processus de connexion, permettant aux utilisateurs de participer à un modèle de contrôle sécurisé sans sacrifier la productivité.

  • Implémentation sans formation
    Pouvez-vous imaginer si vous deviez apprendre à chaque étudiant comment utiliser une nouvelle solution de sécurité? Une telle idée est impossible. La gestion des connexions ne nécessite aucune formation, ce qui facilite la mise en œuvre dans un environnement éducatif.

  • Modèle Zero Trust
    Étant donné que l'environnement éducatif est utilisé uniquement par une majorité d'utilisateurs à haut risque (étudiants), des stratégies de surveillance des ouvertures de session peuvent être créées pour imposer des limites, des alertes et des réponses plus strictes aux personnes les plus exposées.

  • Rentabilité
    Les organismes d'éducation ont un budget limité et, par conséquent, doivent dépenser ce budget à bon escient, en s'assurant qu'ils obtiennent (dans le cas des dépenses de sécurité) la protection la plus sécuritaire avec le moins d'argent dépensé.

  • Sécurité proactive
    Compte tenu de la nature technophile de vos étudiants, votre sécurité ne peut pas être réactive, en attendant qu'une infection par un logiciel malveillant se produise ou que l'activité de piratage soit réussie. La gestion des connexions limite efficacement la portée de l'accès, en arrêtant l'acteur de la menace avant qu'ils ne puissent faire du mal.

Sécuriser l’éducation à la connexion

L'industrie de l'éducation est l'un des secteurs industriels les plus ciblés (et attaqués avec succès). Sa base d'utilisateurs peut aller du complètement innocent au complètement sinistre, ce qui rend nécessaire une protection qui fait partie intégrante de la façon dont les étudiants et les enseignants interagissent avec le réseau, une qui facilite autant la sécurité que l’accès.

La gestion des connexions seule fournit aux organisations éducatives la possibilité de sécuriser en toute transparence l'ensemble du réseau. Il permet au processus d'éducation de continuer normalement, mais avec l'examen et le contrôle nécessaire pour arrêter automatiquement les activités suspectes au point d'entrée.

Citation Don Manning

1 BitSight, The Rising Face of Cyber Crime: Ransomware (2017)
2 Verizon, Data Breach Investigations Report (2017)

Télécharger une version PDF (en anglais)